Netcrook Logo
👤 SECPULSE
🗓️ 06 Feb 2026  

Substack Dévoilé : La Fuite Secrète de Données Repérée d’Abord par les Cybercriminels

Avant que Substack n’alerte ses utilisateurs, près de 700 000 dossiers privés circulaient déjà dans les bas-fonds du numérique.

Le 2 février 2026, alors que la plupart des auteurs de Substack s’affairaient à rédiger leur prochain grand article, une silhouette obscure sous le pseudonyme « w1kkid » publiait discrètement une masse de données volées sur BreachForums - un marché du cybercrime tristement célèbre. La fuite, contenant les informations personnelles de plus de 662 000 utilisateurs de Substack, était déjà échangée et analysée bien avant que la société n’envoie son avertissement officiel. En creusant, Netcrook a découvert qu’il ne s’agissait pas d’un simple scraping, mais d’une véritable brèche ayant exposé l’épine dorsale de l’écosystème éditorial de Substack.

En Bref

  • 662 752 dossiers d’utilisateurs Substack divulgués sur BreachForums le 2 février 2026.
  • Les données incluent emails, numéros de téléphone, détails internes de comptes et informations d’éditeurs - mais pas de mots de passe ni de cartes bancaires.
  • Des indicateurs internes et des identifiants Stripe suggèrent un accès au backend, et non un simple scraping.
  • Substack a confirmé la brèche le 5 février, retraçant l’accès non autorisé jusqu’en octobre 2025.
  • Aucune preuve d’abus pour l’instant, mais le risque de phishing pour les utilisateurs est désormais élevé.

Dans les Coulisses : Qu’est-ce qui a vraiment fuité ?

Le communiqué public de Substack évoquait une exposition « limitée » - pourtant, la base de données divulguée raconte une histoire bien plus intime. Les échantillons examinés par Netcrook (et d’abord analysés par Hackread) révèlent des historiques de comptes complets, des identifiants uniques, l’acceptation des accords éditeurs, et même des biographies de newsletters et des photos de profil. Pour les créateurs - en particulier ceux qui gèrent des newsletters monétisées - l’enjeu dépasse largement l’adresse email : c’est tout leur profil professionnel et leur connexion à des plateformes de paiement comme Stripe qui se retrouvent exposés.

Plus inquiétant encore, des champs de données réservés au backend sont apparus dans la fuite. Des indicateurs comme is_global_admin, is_ghost et is_globally_banned ne sont pas visibles des utilisateurs publics. Leur présence indique que l’attaquant a probablement accédé à des systèmes ou bases de données internes, et pas seulement à ce qui est disponible via les API publiques ou les pages de profil. L’inclusion d’identifiants clients Stripe relie en outre des identités réelles à l’infrastructure financière - ouvrant la voie à des attaques criminelles plus sophistiquées.

Les enregistrements couvrent la période allant des débuts de Substack en 2018 jusqu’à la fin 2025, englobant à la fois lecteurs occasionnels et éditeurs actifs. La diversité mondiale des numéros de téléphone et des emails ajoute un niveau de risque supplémentaire, faisant de cette base un véritable trésor pour les ingénieurs sociaux et les voleurs d’identité.

Et Maintenant, Que Risquent les Utilisateurs de Substack ?

Substack affirme avoir corrigé la faille et n’avoir trouvé aucun signe d’abus immédiat. Mais, comme tout enquêteur chevronné le sait, les données volées circulent souvent discrètement avant d’être exploitées. Déjà, la base de données est apparue sur des forums russophones et des canaux Telegram, faisant monter les enjeux pour tous les concernés.

Pour les utilisateurs comme pour les éditeurs, la vigilance est désormais cruciale. Attendez-vous à des tentatives de phishing ciblées faisant référence à vos informations Substack, et méfiez-vous de toute demande urgente d’identifiants ou de paiement. Le réflexe le plus sûr ? Accédez à Substack uniquement en tapant l’adresse directement - ne faites jamais confiance aux liens ou pièces jointes, aussi convaincants soient-ils.

Conclusion : Quand les Coulisses Deviennent la Scène Principale

Cette brèche rappelle que les vraies histoires se jouent souvent hors de vue - parfois dans les recoins les plus sombres du web, bien avant que les gros titres n’atteignent votre boîte mail. À mesure que des plateformes comme Substack deviennent le nouveau foyer du journalisme et du commentaire, leur sécurité n’est plus un simple enjeu technique - elle est fondamentale pour la confiance dans l’espace public numérique.

WIKICROOK

  • BreachForums : BreachForums était une place de marché en ligne où hackers et cybercriminels échangeaient des données volées, des outils de piratage et des exploits, souvent utilisés lors de cyberattaques.
  • Data Scraping : Le data scraping est l’extraction automatisée de grandes quantités d’informations depuis des sites web à l’aide de bots ou de logiciels, souvent à des fins d’analyse ou de recherche.
  • Backend : Le backend est la partie cachée d’un site ou d’une application où les données sont traitées, stockées et gérées, garantissant un fonctionnement fluide et sécurisé pour les utilisateurs.
  • Phishing : Le phishing est un cybercrime où des attaquants envoient de faux messages pour inciter les utilisateurs à révéler des données sensibles ou à cliquer sur des liens malveillants.
  • Stripe Customer ID : Un Stripe Customer ID identifie de façon unique un utilisateur au sein de Stripe, liant son compte aux services de paiement, de facturation et d’abonnement de manière sécurisée.
Substack data breach cybercrime
SECPULSE SECPULSE
SOC Detection Lead
← Back to news